[NTSB] '18.3 테슬라 모델 X 운전자 사망 사고에 대한 조사

자동차 OEM/테슬라

[NTSB] '18.3 테슬라 모델 X 운전자 사망 사고에 대한 조사

21c형Pilot 2021. 3. 13. 22:14

지난 2018년 3월, 캘리포니아주 마운틴뷰 지역에서 발생한 테슬라 모델X 차량의 충돌 사고(운전자 사망)에 대한 NTSB(National Transportation Safety Board, 연방교통안전위원회)의 조사 결과에 대한 내용입니다.

당시 고속도로를 주행 중이던 2017년 모델X P100D 차량이 중앙의 충돌감쇠기(Crash Attenuator)를 들이받아, 출근 중이던 운전자(Apple 엔지니어)는 사망하고 차량은 화재로 전소한 사고였습니다. 이 사고의 대략적인 상황은 영상 링크를 통해서도 확인해보실 수 있습니다.

NTSB는 사고 직후 조사에 착수하여 2019년 여름에 initial report를 공개하였는데, 이후 추가적인 조사를 통해 2020년 2월 7일~12일에 걸쳐 두 번째 보고서를 공개하였습니다. 그리고 2월 17일 임원 미팅을 통해 최종 조사 결과를 발표했습니다. NTSB 조사는 결과를 발표할 때 권고사항을 제시합니다. NTSB는 규제 당국이 아니기 때문에 이 권고사항을 지킬 강제성은 없습니다만 의회 직속 기관이라는 위치를 감안하면 가볍게 여길 수 없는 것이기도 합니다.

NTSB 임원 미팅(링크)은 약 3시간 30분에 걸쳐 진행되었으며 주요 내용을 상세하게 소개해 드립니다.

임원 미팅의 시작은 테슬라에 대한 비판으로 시작되었으나, 다음과 같은 주체들이 모두 권고사항 준수 필요 대상으로 언급되었습니다.

Tesla : 운전자의 개입 여부를 모니터링 할 수 있는 안전장치가 없었음. 오토파일럿이 정상 작동하지 않을 때(gore에서 좌측으로 쏠림) 경고를 주지 않았음
NHTSA : 관리 감독 실패. 제조사들이 더 많은 데이터를 EDR에 기록 및 공유하도록 해야 함
Apple : 직원 교육 부족(주행 중 휴대폰 사용)
기타 PED 업체들 : 운전 중 주의 분산 관련 어플(게임 등) 비활성화 및 lockout 기술 검토 필요

SAE 자율주행 2단계는 전방 시야 관찰을 포함한 운전자에게 모든 주행 의무가 있습니다. 그럼에도 불구하고 운전자의 부주의로 사고 발생 시 제조사에게도 책임을 묻는 것은 SAE 자율주행 단계는 단지 reference이지 법규 rqmt가 아니라는 점도 있겠지만, 어쨌든 주행 보조 기능이 그것의 ODD 내에서 100% 완벽하고 안전하게 작동한다고 보기 어렵다기 때문인 것 같습니다.(이번에 테슬라 모델 X가 gore area에서 좌측으로 치우치는 현상을 보인것 처럼)

특히, 결함조사국(Office of Defect Investivation) 이번 조사에 개입했다는 것은 비록 운전자를 '보조'하기 위한 기능일지라도 그 설계 의도대로 제대로 작동하지 않으면 이것을 '결함'으로 볼 수 있다는 것을 보여주기도 합니다.

1. NTSB의장(Mr. Sumwalt) 기조 발언

- 안전장치가 없는 상황에서 제조사가 신기술을 계속 양산하고 있다. 또한 NTSB의 권고 사항을 업계가 무시하고 있다. 현재 양산된 최고 레벨의 자율주행은 2단계 시스템이다. 운전자가 항상 supervise해야 하는데 사망한 테슬라 운전자 뿐 아니라 대부분이 마치 full automation 처럼 사용하고 있다.

2017년, 자율주행 자동차 충돌 사고 관련 조사의 일환으로 6개의 제조사에게 안전 관련 2가지 권고 사항을 내린 적 있다. 그 중 5개의 제조사가 호의적으로 응답을 하였고 노력하겠다는 입장을 밝혔다. 하지만 1개의 제조사가 우리를 무시했는데, "That manufacturer is Tesla." 90일 이내에 의견을 달라고 했지만 881일이 지났다. 우리는 아직도 그들의 입장을 기다리고 있다.

주의 분산 이야기를 해보겠다. PED(Portable Electronic Device)의 주행중 사용이 큰 문제가 되고 있다. 이번 사고의 사망자는 Apple의 엔지니어였다. '테크 리더'였다. Apple은 직원들이 출근길 운전 시 PED를 사용하면 안된다는 규정을 갖고 있어야 했는데 전혀 없었다. 앞으로 회사 차원의 PED 사용 관련 정책을 계속해서 강조할 것이다.

2. Thomas Barth NTSB 조사관 - 당시 사고 상황 설명

- 위 링크 영상의 10분40초~ 16분 50초 참고

- EDR 내용을 강조

3. Robers Squire NTSB 조사관 - Crash Event Data Recorder

- EDR에는 현재 ADAS 데이터가 제대로 저장되고 있지 않았다. ADAS 데이터 parameter가 정확히 정의되어야 한다. ADAS 데이터는 조사관에 의해 쉽게 접근 및 해석 가능하게 포맷을 갖춰야 하며 운전자의 engagement와 관련된 내용도 포함돼야 한다. (상세 내용은 영상에서 51분 38초 부터)

4. Proposed findings / 조사 결과 (23개) : 영상 2시간 57분 16초 부터~

1) 사고 당시 운전자의 운전 자격, 실력, medical condition, 피로도, 날씨 등의 영향을 없는 것으로 확인함

2) 운전자의 Emergency response는 timely inadequate 했음

3) 테슬라의 리튬이온 배터리는 폭발하여 구조대에게 unsusual한 화재 및 전기 관련 위험을 발생 시킴

4) 테슬라의 vision 시스템은 S/W의 한계로 Gore 영역 중간에서 LKAS가 좌측으로 계속 차를 치우지게 했는데, 운전자에게 이와 관련 어떠한 알람을 주지 않았음

5) 테슬라의 Forward Collision Avoidance 시스템은 attenuator를 감지하지도 못했고 그럴 능력도 없었다. 그래서 FCW가 작동하지 않았고 결과적으로 AEB도 작동하지 않았음

6) 차가 좌측으로 쏠리고 있었는데 운전자는 어떠한 corrective action도 취하지 않았고, 휴대폰 게임을 하느라 긴급 대응도 하지 못했음(주의 분산)

7) 휴대폰 게임에 의한 운전자 주의 분산 문제는 높은 비중으로 계속될 것이며 이에 대한 대책이 필요함

8) 회사 차원의 강력한 정책으로 직원들의 통근 시간 PED(Portable Electronic Device) 사용을 막아야 함

9) 운전 중에는 Emergency 상황에서만 사용 가능하고 그 외에는 자동적으로 PED가 lockout되거나, 주의 분산이 심할 것으로 예상되는 어플리케이션은 차량 이동중에 disable되게 할 수 있는 기술적 접근 방식이 필요함

10) Occupational Safety and Health Administration는 회사가 직원들의 PED 사용으로 인한 사로를 줄일 수 있게 하는 가이드라인을 제시하였지만, 구체적인 내용이 결여되어 있음

11) 오토파일럿은 운전자의 driving task에 대한 감시 장치가 없음

12) Federal Highway Administration은 고속도로 인프라의 개선이 앞으로 자율주행의 안전한 보급과 어떤 영향력을 갖는지 연구해야 함

13) 충돌 감쇠기는 파괴되어 제 기능을 못하고 있었는데, 캘리포니아 교통 당국 및 경창은 제 때 이를 보고하고 수리하지 못했음

14) 만약 충돌 감쇠기가 제 때 수리되어 있었다면 운전자는 사망하지 않았을 것

15) 운전자가 가하는 steering torque를 모니터링 하는 것은 운전자의 engagement performance를 판단할 수 있는 주요 인자이기 때문에, 레벨2 시스템에서도 운전자의 개입을 확인할 수 있는 효과적인 방법 및 표준이 개발되어야 함

16) 테슬라가 오토파일럿이 작동하기 어려운 환경에서도 운전자가 개입하지 않는 것을 막을 수 있는 장치를 개발하지 않는다면, 앞으로도 계속 같은 사고가 반복될 것

17) NHTSA는 제조사가 ODD 밖에서 자율주행 시스템을 misuse하는 것을 막는 safe guard를 만들도록 압박해야 함

18) 고속 환경에서 자율주행차의 안전한 보급을 위해서는, Collision Avoidance System 기능이 잠재적인 위험 상황(도로의 교통 안전 하드웨어 등을 포함)을 인지하고 고속에서도 FCA가 작동할 수 있도록 개발 해야 함

19) NHTSA의 자율주행 자동차 관리 방식은 잘못 되었음. 문제가 일어날 때 까지 기다리지 말고 선제적인 대응을 해야 함

20) NHTSA가 Defect Investigation Program을 잘 관리해야 하고, 자율주행차의 misuse, 특히 현재 2단계 시스템에 대한 조사를 철저히 해야 함

21) NHTSA의 Office of Defect investigation은 테슬라 오토파일럿의 설계 적합성을 검증하는데 실패했음.

22) 자율주행 2단계에서 운전자의 engagment와 관련된 Vehicle Performance Data는 현재 EDR에서 기록이 요구되지 않음.

23) 독립적으로 수사가 가능할 수 있도록 데이터를 확인할 수 있는 표준이 개발되어야 함.

5. Proposde probable casue / 사고 원인

: 오토파일럿의 시스템 한계가 있었고 휴대폰 게임을 하느라 주의 분산 된 운전자의 반응도 없었음. 자율주행 2단계 시스템에 대한 Over-reliance가 문제였고, 교통 당국이 Crash Attenuator를 제 때 수리해 놓지 않은 것도 원인이 되었음.

6. Proposed recommendations / 권고 사항

<NHTSA>

1) 차기 NCAP에서 FCA를 평가하는데 있어 실제 차량 뿐 아니라, 차량과 비슷한 장애물로 인식될 수 있는 것, 기타 교통 하드웨어 장치들을 인지하는지를 평가할 것

2) 오토파일럿 시스템의 한계를 평가할 것. 부적합한 것이 발견되면 즉시 Tesla가 수정하게 할 것

3) 레벨2 시스템에 대한 운전자 모니터링 시스템이 사고를 최소화하고 misuse를 줄일 수 있으므로, 관련된 표준을 개발할 것

4) 레벨2 시스템에도 운전자 모니터링 시스템이 장차되도록 제조사에 권고 할 것

1) 직원들이 PED를 사용하지 않도록 주의 분산 가이던스를 재검토 하고 회사에서 강력한 정책을 만들도록 권고 할 것

2) 29US CODE section 654에 언급된 대로 주의 분산 운전의 위험성에 대비하지 못한 회사/직원에 대한 law enforcement 전략을 수정할 것

<SAE>

1) 자율주행 2단계 시스템에 대해, NHTSA와 함께 협업하여 운전자 모니터링 시스템에 대한 성능 표준을 개발하여 misuse와 over-reliaance를 최소화 할 것

1) 주의분산 유발 가능한 기능을 lockout하고, 차가 움직일 때는 어플리 비활성화 되로독 하는 메커니즘을 개발할 것

<Apple>

1) 회사 정책을 만들어서 non-emergency 상황에서의 in vehicle PED 사용을 금지시킬 것

7. Reiterated recommendations / 재차 권고 사항

: 과거 권고했던 내용중 지켜지지 않은 것들에 대해 NTSB는 아래와 같이 재차 권고함을 밝힘(H-xx-xx 등의 표현은 문서 번호임)

<NHTSA>

1) H-15-4 : FCA에 대한 평가 프로토콜을 개발할 것. 다양한 속도, 고속(high velocity differential 포함)에서 평가할 수 있도록

2) H-15-39 : 자율주행 2단계 시스템이 ODD를 벗어난 상태일 때, 사용을 막을 수 있는 safe guard를 제조사가 만들도록 할 것

<US DOT(미국교통부)>

1) 충돌 상황을 포함한 자율주행 시스템 이해하기 위한 data parameter를 정의할 것. 이 parameter는 충돌 전후의 차량 제어 status와 in vehicle driver performance를 모두 반영해야 함

<NHTSA>

1) US DOT가 개발한 data parameter로 데이터가 저장되고 NTSB가 이것을 확인할 수 있도록 할 것

2) 자율주행 시스템 control data를 보고할 수 있는 표준화된 양식을 개발하고, 사고가 발생할 때 마다 제조사가 보고하도록 할 것

<테슬라>

1) Safeguard를 만들 것

2) 오토파일럿 작동 중 운전자의 engagement 성능을 더 정확하고 효율적으로 모니터링 할 수 있는 방법을 개발할 것

<Consuder Technology Association>

1) 운전중 주의분산을 일으킬 수 있는 PED의 기능의 비활성화 방안에 대해 검토할 것

<캘리포니아 교통국/캘리포니아 경찰 당국>

1) 교통 인프라의 파괴 및 고장이 있을 때는 신속하게 고쳐서 정상화 시킬 것

8. NTSB의장(Mr.Sumwalt) 클로징 멘트

- Driver engagement performance를 강화할 수 있는 당국, 제조사의 노력을 재차 강조함.

이 사고는 결정적으로는 운전자가 휴대폰 게임을 하느라 전방 주시 의무를 다하지 않은 것이 비극의 직접적인 원인이 되었습니다. NTSB는 충돌 시점까지 운전자의 휴대폰 사용 기록을 복구하여 공개했는데 운전중에 문자를 수/발신한 이력은 없었고 데이터 사용 기록이 확인되었습니다.

위 그림은 사고 발생 12시간 전부터 운전자 휴대폰의 데이터 사용량을 보여줍니다. 사고 발생 직전 데이터 사용량이 204KB/min 으로 최고치를 보였습니다. 이 수치는 온라인 게임을 할 때의 데이터량과 비슷한 수준입니다. (보고서에서는 문자, 메일, SNS 등 다양한 액티비티에 소요되는 데이터량을 AT&T 통신사로부터 제공받아 기록하였음)

Apple의 협조하에 NTSB는 운전자의 아이폰을 상세 복구하였고, 주행 중 "Three Kingdoms"라는 모바일 게임에 접속한 로그를 발견했습니다. 또한, 사고가 발생하기 전에도 매일 비슷한 시간에 해당 게임에 접속한 로그가 발견되어 출근 중 습관적으로 게임을 했던 것으로 판단했습니다. 그의 아내는 남편이 평소에 게임을 좋아하지만 운전 중에는 절대 하지 않는다고 주장했다고 합니다.

NTSB의 조사 이후 테슬라는 몇 가지 업데이트를 했습니다.

그 중 하나는 오토파일럿 작동 중 hands off 시간이 길어지면 경고를 내보내는데, 일정한 인터벌로 내보내는 것이 아니라 속도 감응형으로 내보내도록 수정했습니다. 즉, 25mph로 달릴 때와 80mph로 달릴 때 같은 인터벌로 경고를 하는 것은 넌센스라고 판단한 것입니다.